安卓手機爆發“寄生推”病毒 2000 萬用戶遭遇惡意推廣

如“ 寄生蟲 ”一般的惡意推廣手段正在嚴重影響上千萬手機用戶的使用體驗。近日，騰訊 TRP-AI 反病毒引擎捕獲到一個惡意推送信息的軟件開發工具包（SDK）——“寄生推”，通過預留的“后門”云控開啟惡意功能，進行惡意廣告行為和應用推廣，以實現牟取灰色收益。目前已有 300 多款知名應用受“寄生推 ”SDK 感染，潛在影響用戶超 2000 萬。 超 300 多款知名應用遭“寄生推”病毒“綁架” 潛在影響超 2000 萬用戶 大量用戶已經受到了“寄生推”推送 SDK 的影響。根據騰訊安全聯合實驗室反詐騙實驗室大數據顯示，已有數十萬用戶設備 ROM 內被植入相關的惡意子包，受到影響的設備會不斷彈出廣告和地下推廣應用。此外，這些惡意子包可以繞過大多應用市場的安裝包檢測，導致受感染的應用混入應用市場，給用戶和應用開發者帶來重大損失。 更值得關注的是，感染“寄生推” SDK 的知名應用中，不僅類型豐富，更是不乏用戶超過千萬的巨量級軟件，“我們估測超過 2000 萬用戶都受此威脅”，騰訊安全聯合實驗室反詐騙實驗室技術工程師雷經緯表示。

（圖：“寄生推”推送 SDK 惡意子包影響范圍廣） 傳播過程酷似“寄生蟲”：強隱蔽性+強對抗性 “寄生推”不僅影響范圍廣，在傳播路徑上更是“煞費苦心”。據雷經緯介紹，該信息推送 SDK 的惡意傳播過程非常隱蔽，從云端控制 SDK 中實際執行的代碼，具有很強的隱蔽性和對抗殺毒軟件的能力，與“寄生蟲”非常類似，故將其命名為“寄生推”。 具體表現為，首先，其開發者通過使用代碼分離和動態代碼加載技術，完全掌握了下發代碼包的控制權；隨后，通過云端配置任意下發包含不同功能的代碼包，實現惡意代碼包和非惡意代碼包之間的隨時切換；最后在軟件后臺自動開啟惡意功能，包括植入惡意應用到用戶設備系統目錄，進行惡意廣告行為和應用推廣等，最終實現牟取灰色收益。 如何遠離手機中的“寄生蟲”？安全專家三大建議 為了幫助用戶避免“寄生推”推送 SDK 的危害，騰訊手機管家安全專家楊啟波提出以下三點建議：其一，SDK 開發者應盡可能的避免使用云控、熱補丁等動態代碼加載技術，要謹慎接入具有動態更新能力的 SDK，防止惡意 SDK 影響自身應用的口碑；其二，用戶在下載手機軟件時，應通過應用寶等正規應用市場進行，避免直接在網頁上點擊安裝不明軟件。

（圖：騰訊手機管家查殺“寄生推”病毒） 最后，用戶應養成良好的安全使用手機的習慣，借助騰訊手機管家等第三方安全軟件對手機進行安全檢測，移除存在安全風險的應用。作為用戶手機安全的第一道防線，騰訊手機管家借助騰訊 TRP-AI 反病毒引擎的檢測及分析能力，進一步增強整體防御能力。據了解，騰訊 TRP-AI 反病毒引擎，首次引入基于 APP 行為特征的動態檢測，并結合AI深度學習，對新病毒和變種病毒有更強的泛化檢測能力，能夠及時發現未知病毒，變異病毒，和及時發現病毒惡意代碼云控加載，更為智能的保護用戶手機安全。 來源：鳳凰網